1. 应急响应的流程
1.1. 为什么会有应急响应?
-
-
- 在工作过程中,会遇到突发的情况,比如:DOS攻击,渗透攻击,病毒感染,需要立即将这些问题清除掉,恢复正常的生产秩序。 这个过程就是应急响应。
-
1.2. 流程
-
-
- 收集信息:收集客户的信息,以及遭遇情况的表现症状。
- 判断类型:判断是否为安全事件,是哪一种安全事件?(勒索、挖矿、断网、Dos、蠕虫、木马)
- 深入分析:日志分析、样本分析、启动项分析、进程分析
- 清理处置:攻击抑制、阻断攻击、清理(杀掉进程、删除文件、打补丁、系统修复、文件恢复)
- 恢复验证:观察系统运行情况,确认处理已经成功
- 编写报告:将整个应急过程汇总,整理输出报告上报
-
2. 流程详情
2.1. 信息收集
-
-
- 感染的设备数量
- 补丁情况:已经打过的补丁,漏打的补丁
- 当前的症状:资源消耗情况(CPU、内存、网络链接、磁盘使用、GPU(Linux使用TOP查看)),显示出来的和实际表现情况
- 账号密码:确认是否存在弱口令的情况
- 对外开放的端口
- 目前开启的服务
- 操作系统的版本
- 客户的需求:比如不能断网、不允许重启应用、不能重装系统或应用
-
2.2. 事件类型划分
-
-
- 有害程序:病毒、蠕虫、特洛伊木马、僵尸网络、webshell
- 网络攻击:DoS、DDoS、后门、漏洞攻击、网络窃听、网络钓鱼、干扰类
- 信息破坏或篡改:信息篡改、信息假冒、信息泄露、信息窃取
- 信息内容安全:违背网络安全发或国家法律禁止的信息暴露
- 设备设施故障:软件系统故障、保障设施故障、人为破坏
- 灾害性事件:自然灾害、人为灾害
-
2.3. 分析抑制
-
-
- 目的:采取响应操作,降低事件造成的损失
- 方式:物理遏制、网络遏制、主机遏制、程序遏制
-
-
-
-
-
- (断网)、(网络封禁)、(关机、降低响应用户的权限)、(关闭程序)
-
-
-
2.4. 清理处置
-
-
- 详细排查,根除事件引发因素
- 入手方面:系统基本信息,网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录和文件排查、用户组排查、事件日志排查、webshell排查、中间件日志排查、安全设备日志排查
- 清除:删除文件、修复配置、打补丁
-
2.5. 恢复确认
-
-
- 小范围系统重启,确认清除效果
- 持续观察一段时间:一天到一周
-
2.6. 报告总结
-
-
- 汇总和整理事件应急全过程,提交处理报告
- 总结事件引发的因素、制定相应的安全生产规范和制度,进行员工培训
-
3. 挖矿病毒排查
3.1. 现象:
-
-
- CPU队列比较高,使用率爆满
- 访问正常服务产生超时
-
3.2. 分析定位
-
-
- 进程排查
- 网络排查
- 样本送检(沙箱)
-
3.3. 清除病毒
-
-
- 清除计划任务,快速杀掉守护进程与病毒主进程
-
3.4. 恢复确认
-
-
- 进程不再重新启动
- 计划任务也没有重新添加
-
3.5. 复盘流程,编写报告
-
-
- 排查病毒引入路径
-